Das Thema Datenspeicherung ist für Unternehmen wichtig – geht aber auch mit Verantwortung und zahlreichen Verpflichtungen einher. Seit Inkrafttreten der DSGVO im Mai 2018 müssen Unternehmen über die Speicherung und Aufbewahrung von personenbezogenen Daten genaue Rechenschaft ablegen. Zu den Pflichten zählt insbesondere auch die fristgerechte Löschung von Daten. Um die Datenlöschung gemäß DSGVO umzusetzen, hilft oftmals ein Löschkonzept. Es unterstützt die Verantwortlichen bei der rechtskonformen Datenverwaltung und -löschung. Der folgende Artikel erläutert, wie Sie ein Löschkonzept erfolgreich einsetzen und welche Stolpersteine es zu beachten gilt.
Nach dem Infektionsschutzgesetz - wohin mit den gesammelten Daten?
Das neue Infektionsschutzgesetz (IfSG) bot Unternehmen während der Corona-Pandemie den juristischen Rahmen für bestimmte Auflagen wie Kontaktbeschränkungen. Daraus ergab sich für viele Gewerbe die Pflicht, Kontaktdaten von Kunden, Gästen und Veranstaltungsteilnehmern zu erheben und aufzubewahren. Die zahlreichen personenbezogenen Daten, die in diesem Zusammenhang von Unternehmen gesammelt wurden, unterliegen laut DSGVO einem besonderen Schutz. Neben der bestimmungsgemäßen Aufbewahrung der Daten sind hierbei auch die vorgegebenen Löschpflichten zu beachten. Das IfSG sieht eine Aufbewahrungsfrist der Daten von 4 Wochen vor. Nach diesem Zeitraum erst dürfen die gesammelten Daten gelöscht werden. Wie kommen Sie als Unternehmen also einerseits Ihren Pflichten zur Aufbewahrung nach – und regeln andererseits Ihre Löschpflichten DSGVO-konform? Dies erfordert eine gute Vorbereitung – aber auch die Beachtung einiger Stolpersteine bei der Umsetzung.
Diese Stolpersteine gibt es bei der Datenverwaltung und -löschung
Neben dem Recht auf Löschung existieren zahlreiche weitere rechtliche Grundsätze und Normen, die das Thema Datenspeicherung regeln. Wie im Falle des Infektionsschutzgesetzes müssen Unternehmen die erhobenen Daten häufig für bestimmte Zeiträume speichern und aufbewahren.
Sonderregeln erfordern beispielsweise diese Bereiche:
- Grundsätze ordnungsgemäßer Buchführung (GoBD)
- Aufbewahrungsfristen für Handelsbriefe
- Aufbewahrungsfristen für Steuerunterlagen
Die jeweiligen Aufbewahrungsfristen können mitunter etliche Jahre betragen wie zum Beispiel im Falle von Steuerunterlagen, die erst nach 10 Jahren endgültig vernichtet werden dürfen. Für Unternehmen stellt diese Pflicht eine besondere Herausforderung dar bei der DSGVO-konformen Datenspeicherung.
Aber nicht nur aus den Aufbewahrungsfristen ergeben sich bestimmte Archivierungsgrundsätze. Darüber hinaus gibt es weitere Sonderregelungen und Spezialfälle, die in einem gut durchdachten Löschkonzept berücksichtigt werden müssen. Sie greifen beispielsweise, wenn eine Aufsichtsbehörde die Löschung bestimmter Daten anordnet oder verhindert. Insofern der Löschung keine rechtlichen Hindernisse im Wege stehen, müssen diese Fälle im Löschkonzept bedacht sein. Nur wie bringen Sie als Unternehmen all diese Themen DSGVO-konform unter einen Hut?
Löschkonzept nach DSGVO: So löschen Sie Daten richtig
Ein Löschkonzept bietet Unternehmen einen systematischen Rahmen, ihren Löschpflichten laut DSGVO nachzukommen. Es legt fest, wie und wann personenbezogene Daten gelöscht werden, wenn der Zweck der Aufbewahrung die weitere Speicherung nicht mehr rechtfertigt. Das Löschkonzept umfasst die folgenden Inhalte:
- Datenarten: Dieser Punkt definiert Kategorien der gespeicherten Daten. Hierzu zählen zum Beispiel Mitarbeiterdaten oder Kundendaten.
- Löschfristen: Dieser Abschnitt legt konkrete Löschregeln fest. Hier stellt sich im Einzelfall die Frage, ob das berechtigte Interesse zur Löschung oder die Aufbewahrungsfrist maßgeblich sind.
- Unternehmensbereiche: Hier sollten Sie die spezifischen Vorgaben beachten, die für den ausgesuchten Unternehmensbereich gelten.
- Systeme: Auf welchen Systemen sind personenbezogene Daten gespeichert? Prüfen Sie nicht nur die primäre Quelle, sondern beziehen Sie auch Back-Ups mit ein!
- Weitergabe von Daten: Wenn Daten weitergegeben wurden, müssen diese selbstverständlich auch von Dritten fristgerecht gelöscht werden.
- Dokumentation: Erstellen Sie eine transparente Dokumentation aller Vorgänge gemäß den Rechenschafts- und Dokumentationspflichten der DSGVO.
Die DSGVO verlangt von Unternehmen genaue Rechenschaft und ein stringentes Vorgehen bei der Datenlöschung. Neben den verschiedenen Fristen zur Datenaufbewahrung bzw. -löschung spielt hier auch das Recht eines jeden Bürgers auf Vergessenwerden eine wichtige Rolle. Mit einem gut durchdachten Löschkonzept behalten Sie den Überblick und kommen Ihren Lösch- und Dokumentationspflichten gemäß DSGVO zuverlässig und transparent nach. Das Team von datenschutzexperte.de unterstützt Sie auf diesem Weg. Wir fertigen mit Ihnen ein individuelles Löschkonzept an und stehen Ihnen mit persönlicher Beratung zur Seite. Sprechen Sie uns einfach an!
Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 04.07.2022
